Лицензия на компоненты ЦИ

Для компонентов ЦИ, отвечающих за аутентификацию, требуются следующие лицензии:

  • На модуль аутентификации мобильных приложений (аутентификация пользователей с помощью мобильного приложения КриптоПро Ключ или КриптоПро Ключ SDK);
  • На модуль аутентификации КриптоКлюч (аутентификация Пользователей с помощью мобильного приложения КриптоКлюч или КриптоКлюч SDK).

Для каждого из компонентов существуют следующие типы лицензии:

  • Демонстрационная. Рассчитана на 10 Пользователей и не ограничена по сроку действия. Демонстрационную лицензию необходимо ввести после создания и настройки экземпляра ЦИ.
    Пример ввода Демонстрационной лицензии

  • Базовая. Лицензия выдается на ограниченное количество Пользователей и не ограничена по времени. В одной группе лицензий может быть только одна Базовая лицензия.

  • На расширение Базовой лицензии. Лицензия дополняет Базовую (не может быть введена без нее) и выдается на ограниченное количество Пользователей. Лицензий На расширение в одной группе лицензий может быть сколько угодно.

  • Ограниченная по времени. В ограниченной по времени (подписка, subscription) лицензии ограничен как срок действия лицензии, так и количество Пользователей (кол-во активаций). Особенности лицензии:

    • Срок действия лицензии отсчитывается индивидуально с момента активации каждого Пользователя. Активацией Пользователя называется включение данному Пользователю метода аутентификации при помощи мобильного приложения.
    • При включении Пользователю метода аутентификации при помощи мобильного приложения тратится одно использование лицензии (одна активация). Если срок действия лицензии для данного Пользователя истек и у него по-прежнему включен метод аутентификации при помощи мобильного приложения, тратится еще одно использование лицензии (одна активация). Данный процесс происходит автоматически и повторяется, пока метод аутентификации остается включенным для данного Пользователя.
    • Активация лицензии закрепляется за Пользователем. В течение срока действия активированной лицензии включение/отключение для данного Пользователя метода аутентификации не тратит новую активацию. Удаление пользователя не высвобождает активированную лицензию.
    • Лицензия может быть введена, даже если Базовая лицензия отсутствует.
    • Срок действия лицензии и/или количество Пользователей можно увеличить путем ввода новой Ограниченной по времени лицензии (возможные ограничения см. в разделе "Сочетания лицензий").
Примечание

При наличии введенной лицензии на тот или иной компонент ЦИ из перечисленных выше, лицензии закрепляются за Пользователями автоматически при назначении метода аутентификации или при попытке подтверждения операции. При отключении у Пользователя какого-либо из методов аутентификации лицензия освобождается и может быть занята другим Пользователем (касается только Демонстрационной, Базовой лицензии и лицензии На расширение).

Ввод лицензий

В общем виде схема лицензирования компонентов ЦИ выглядит следующим образом:

image

Ввод лицензии осуществляется в следующей последовательности:

1. Создание группы лицензий и ее привязка к группе Пользователей.

# Создание группы лицензий и привязка их к группе Пользователей
Add-IdsLicenseGroup -Name "<Отображаемое имя группы лицензий 1>" -LicenseeGroups <Имя группы Пользователей 1>
Add-IdsLicenseGroup -Name "<Отображаемое имя группы лицензий 2>" -LicenseeGroups <Имя группы Пользователей 2>

, где Имя группы Пользователей - значение строки Name в выводе командлета Get-IdsIdentityGroup.

Внимание!
  • Одна группа лицензий МОЖЕТ быть привязана к нескольким группам Пользователей (в т.ч. Default).
  • К одной группе Пользователей НЕ МОЖЕТ быть привязано более одной группы лицензий.

2. Ввод номера лицензии с одновременным включением данной лицензии в группу.

Внимание!

Некоторые типы лицензий не могут находиться в одной и той же группе. Возможные комбинации лицензий описаны в соответствующем разделе. 

$licenseSerial1 = "%aaaa-aaaa-aaaa-aaaa%"
$licenseSerial2 = "%bbbb-bbbb-bbbb-bbbb%"
$companyName = "%Company_Name%"

# Добавление лицензии в группу лицензий
Add-IdsLicense -SerialNumber $licenseSerial1 -CompanyName $companyName -LicenseGroupId <ID группы лицензий 1>
Add-IdsLicense -SerialNumber $licenseSerial2 -CompanyName $companyName -LicenseGroupId <ID группы лицензий 2>

, где LicenseGroupId - значение строки Name в выводе командлета Get-IdsLicense.

Примечание

После внесения изменений в конфигурацию экземпляра необходимо перезапустить сервис при помощи команды Restart-IdsInstance -DisplayName <string>.

Первый ввод лицензии

При первом вводе лицензии можно воспользоваться одним из следующих сценариев.

Первый ввод Демонстрационной лицензии

foreach ($licenseGroup in Get-IdsLicenseGroup)
{
   Set-IdsLicenseGroup -LicenseGroupId $licenseGroup.Id -LicenseeGroups @{}
}

$licGroup = Add-IdsLicenseGroup -Name "Demo Lic Group" -LicenseeGroups Default

# Получить список серийных номеров можно при помощи командлета Get-IdsLicense
$licenseSerial1 = "DSS Client Trial License"
Set-IdsLicense -SerialNumber $licenseSerial1 -LicenseGroupId $licGroup.ID

Restart-IdsInstance -DisplayName <string>

Первый ввод лицензии

foreach ($licenseGroup in Get-IdsLicenseGroup)
{
   Set-IdsLicenseGroup -LicenseGroupId $licenseGroup.Id -LicenseeGroups @{}
}

$licGroup = Add-IdsLicenseGroup -Name "Default Lic Group" -LicenseeGroups Default

$licenseSerial1 = "%aaaa-aaaa-aaaa-aaaa%"
$companyName = '%Company_Name%'

Add-IdsLicense -SerialNumber $licenseSerial1 -CompanyName $companyName -LicenseGroupId $licGroup.ID

Restart-IdsInstance -DisplayName <string>

Сочетания лицензий

Каждая из введенных лицензий принадлежит некоторой группе лицензий. В таблице ниже на пересечениях столбцов и полей символом "+" или "-" указаны возможности размещения типов лицензий в одной группе. При этом необходимо учитывать следующее:

  • Демонстрационная лицензия не сочетается с другими типами лицензий. При создании нового экземпляра ЦИ Демонстрационная лицензия не прикреплена к какой-либо группе. При этом при назначении метода аутентификации Пользователю использование этой лицензии тратится. Если группе Пользователей Default дополнительно назначены лицензии других типов, необходимо перенести Демонстрационную лицензию в другую группу лицензий.
  • Базовые лицензии и лицензии На расширение МОГУТ комбинироваться в одной группе на различные методы аутентификации и на различное число Пользователей в каждой. При этом Базовая лицензия в одной группе может быть введена только одна.
  • Лицензии, ограниченные по времени, могут комбинироваться только при условии, что их сроки действия в пределах одной группы одинаковы (например, каждая на 1 месяц). При этом допустимое количество пользователей в данных лицензиях может быть различным.

Таблица 1 - Сочетания лицензий

Типы лицензий Базовая На расширение Ограниченная по времени Демонстрационная
Демонстрационная - - - + (с Демонстрационными лицензиями на другие компоненты ЦИ)
Базовая + + - -
На расширение + + - -
Ограниченная по времени - - + (только с одинаковым сроком действия) -

Устранение неполадок

Перенос Демонстрационной лицензии в отдельную группу

В случае если в группу лицензий, содержащую Демонстрационную лицензию, необходимо поместить лицензии других типов, следует выполнить следующие действия.

  1. Создать новую группу лицензий.
  2. Прикрепить к этой группе Демонстрационную лицензию.
Примечание

Значение параметра -SerialNumber фиксировано для Демонстрационных лицензий на все компоненты ЦИ и должно соответствовать следующему списку:

  • myDSS Trial License - для КриптоКлюч SDK и мобильного приложения КриптоКлюч,
  • DSS Client Trial License - для КриптоПро Ключ SDK и мобильного приложения КриптоПро Ключ.
$g =  Add-IdsLicenseGroup -Name mydss_trial 
Set-IdsLicense -SerialNumber "myDSS Trial License" -LicenseGroupId $g.Id

$g =  Add-IdsLicenseGroup -Name dssclient_trial 
Set-IdsLicense -SerialNumber "DSS Client Trial License" -LicenseGroupId $g.Id

Сброс привязки группы лицензий

При включении лицензии в группу лицензий, где присутствуют некомбинирующиеся с ней типы, могут возникать ошибки. В данном случае необходимо сбросить привязки групп лицензий к группам Пользователей:

foreach ($licenseGroup in Get-IdsLicenseGroup)
{
   Set-IdsLicenseGroup -LicenseGroupId $licenseGroup.Id -LicenseeGroups @{}
}
Примечание

Данная команда уничтожает все ранее созданные привязки групп лицензий к группам Пользователей. Необходимо назначить лицензиям новые группы при помощи следующей команды:

Set-IdsLicenseGroup -LicenseGroupId <ID группы лицензий> -LicenseeGroups <"Имя группы Пользователей 1","Имя группы Пользователей 2">

, где Имя группы Пользователей - значение строки Name в выводе командлета Get-IdsIdentityGroup. После завершения настройки необходимо перезапустить экземпляр Центра Идентификации.

Нештатные ситуации

Нештатной ситуацией при использовании лицензий на компоненты ЦИ называется ситуация, когда в течение короткого периода времени для одной и той же учетной записи пользователя выполняется слишком много настроек аутентификации. К примеру, нештатные ситуации могут возникать при использовании одной и той же учетной записи для создания подписи документов от имени различных пользователей.

Допустимое количество нештатных ситуаций составляет не более 10% от числа пользователей в лицензии. Если в группе лицензий есть несколько лицензий одного типа, то допустимое количество нештатных ситуаций будет составлять также 10% от общего числа пользователей, входящих в лицензии этого типа.

Количество нештатных ситуаций подсчитывается за период продолжительностью (30 суток) для всех пользователей группы. Период НЕ зависит от календарного месяца и подсчитывается автоматически.

При превышении числа нештатных ситуаций за последние 30 суток становится невозможным добавление нового устройства и/или обновление вектора аутентификации Пользователя.

Изменения в схеме аутентификации пользователя, которые могут приводить к возникновению нештатных ситуаций:

1. Отключение метода аутентификации. 2. Удаление Пользователя. 3. Удаление устройства (и вектора аутентификации) Пользователя (в том числе при замене вектора аутентификации на одном и том же устройстве в мобильном приложении КриптоПро Ключ).

Данные события не всегда приводят к возникновению нештатной ситуации. Для этого необходимо учитывать механизм возникновения нештатных ситуаций, описанный в следующем разделе.

Механизм возникновения нештатных ситуаций

Механизм возникновения нештатных ситуаций позволяет определить, какие события и характеристики учетных записей пользователей влияют на лицензионную политику и приводят к возникновению нештатных ситуаций.

События, приводящие к возникновению нештатной ситуации:

  • Отключение метода аутентификации (только для Базовой или На расширение, см. доп. условия).
  • Удаление Пользователя (только для Базовой или На расширение).
  • Удаление устройства (и вектора аутентификации) Пользователя (На все типы лицензии, см. доп. условия).
Примечание

Перечисленные события приводят к возникновению нештатной ситуации только при наличии у пользователя хотя бы одного "валидного" ключа, т.е. вектора аутентификации, остаток срока действия которого составляет более 30%.

Нештатная ситуация при отключении метода аутентификации

Таблица 2 - Возникновение нештатной ситуации при отключении метода аутентификации для лицензий различных типов в зависимости от срока действия вектора аутентификации пользователя

Примечание

В таблице ниже используются следующие обозначения:

  • "+" - пересечение условий приводит к возникновению нештатной ситуации;
  • "-" - пересечение условий НЕ приводит к возникновению нештатной ситуации.
Срок действия вектора аутентификации Типы лицензий
Базовая / На расширение Ограниченная по времени
Осталось более 30% срока действия + -
Осталось менее 30% срока действия - -

Из приведенной таблицы следует, что отключение метода аутентификации не приводит к возникновению нештатной ситуации, если у вектора аутентификации пользователя осталось менее 30% от срока его действия.

Дополнительно из данной таблицы следует, что если у вектора аутентификации пользователя осталось более 30% от срока его действия, отключение метода аутентификации приводит к возникновению нештатной ситуации только для лицензий типа Базовая и На расширение. Такое поведение связано с тем, что Ограниченная по времени лицензия закрепляется за пользователем и не может быть отсоединена до ее истечения.

Штатные способы удаления и вывода учетных записей из эксплуатации

Процесс удаления (вывода из эксплуатации) учетной записи пользователя отличается в зависимости от типа лицензии (Базовая/На расширение или Ограниченная по времени).

Примечание

Перед выводом учетной записи из эксплуатации необходимо удалить все связанные с данной учетной записью сертификаты и запросы на сертификаты. Неудаленные сертификаты и запросы на сертификаты занимают лицензии Сервиса Подписи и не могут быть штатно удалены.

Для Базовой лицензии (или лицензии На расширение)

Массовое удаление пользователей без учета лицензионных особенностей может приводить к нарушениям в работе СЭП. Допустимое количество нештатных ситуаций составляет не более 10% от числа пользователей в лицензии в течение каждых 30 дней.

Удаление пользователя без возникновения нештатной ситуации возможно только если у учетной записи данного пользователя нет ни одного вектора аутентификации с остатком срока действия более 30%.

Таким образом, перед удалением учетной записи необходимо получить список устройств пользователя и проверить их срок действия. Если среди устройств присутствует хотя бы одно устройство, остаток срока действия вектора аутентификации которого более 30%, удаление учетной записи приведет к нештатной ситуации.

Безопасным способом вывода пользователей из эксплуатации, позволяющим избежать появления нежелательных нештатных ситуаций, является блокировка учетной записи пользователя. Заблокированная учетная запись может быть удалена без возникновения нештатных ситуаций, когда у нее не останется ни одного вектора аутентификации с остатком срока действия более 30%.

Отключение метода аутентификации также НЕ является безопасным выводом учетной записи из эксплуатации, так как может приводить к возникновению нештатных ситуаций аналогично удалению пользователя, описанному выше.

Для Ограниченной по времени лицензии

Использование Ограниченной по времени лицензии позволяет удалять (выводить из эксплуатации) пользователей без возникновения нештатных ситуаций.

Даже неиспользуемая учетная запись продолжает автоматически расходовать лицензии, если для нее все еще включен метод аутентификации. Таким образом, вывод учетных записей из эксплуатации обязателен при использовании Ограниченной по времени лицензии и может быть выполнен следующими способами:

  • удаление учетной записи;
  • отключение метода аутентификации;
  • перевод учетной записи пользователя в группу без лицензии.

Перевод пользователя в группу без лицензии позволяет реализовать следующий жизненный цикл учетной записи пользователя:

1. Создание учетной записи пользователя со следующими параметрами:

  • назначен способ аутентификации при помощи мобильного приложения;
  • группа пользователя привязана к определенной группе лицензий (например, со сроком действия 1 месяц).

2. Перенос учетной записи в группу без лицензии.

3. Штатная работа пользователя в течение 1 месяца.

4. Автоматическое прекращение возможности использования способа аутентификации ввиду невозможности повторной активации лицензии.

Данный сценарий возможен при установленном значении параметра -DisableLicenseAutoRebind 1 командлета Set-IdsProperties.